दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा (RADIUS) विश्वसनीयता और मापनीयता

द्वारा प्रकाशित किया गया था Zevenet | 3 अक्टूबर, 2017

अवलोकन

RADIUS or दूरस्थ प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा एक नेटवर्क प्रोटोकॉल है जो उपयोगकर्ताओं और उपकरणों के प्रमाणीकरण, प्रमाणीकरण और लेखांकन को केंद्रीकृत प्रबंधन प्रदान करता है। इंटरनेट सेवा प्रदाताओं और उद्यमों द्वारा व्यापक रूप से इसका उपयोग इंटरनेट, स्थानीय सेवाओं, वायरलेस नेटवर्क के वाईफाई एक्सेस पॉइंट आदि के माध्यम से नियंत्रित करने के लिए किया जाता है।

RADIUS प्रोटोकॉल एक क्लाइंट-सर्वर आर्किटेक्चर के साथ एप्लिकेशन लेयर में कार्यान्वित किया जाता है जो टीसीपी या यूडीपी को ट्रांसपोर्ट लेयर के रूप में उपयोग कर सकता है और इसे एक यूजर डेटाबेस के साथ संचारित किया जाता है सक्रिय निर्देशिका, LDAP सेवा or लिनक्स लेखा प्रणाली। सबसे लोकप्रिय RADIUS समाधान FreeRadius या Microsoft NPS रेडियस सर्वर हैं।

RADIUS मैसेजिंग प्रोटोकॉल

प्रोटोकॉल मैसेजिंग क्लाइंट रिक्वेस्ट और सर्वर रिस्पॉन्स तरीके पर आधारित है जैसा कि नीचे दिखाया गया है।

1. ग्राहक भेजता है a निवेदन को खोलिए प्रत्येक उपयोगकर्ता या डिवाइस के लिए सर्वर को सर्वर पोर्ट के लिए प्रमाणित किया जाना है टीसीपी / यूडीपी एक्सएनयूएमएक्स (पुराने सर्वर संस्करण का उपयोग करेगा 1645 प्रमाणीकरण के लिए भी)।
2. सर्वर नीति के अनुसार उत्तर देता है प्रवेश-स्वीकार करें अगर प्रमाणीकरण की अनुमति है, प्रवेश-अस्वीकार अगर पहुंच की अनुमति नहीं है या प्रवेश-चैलेंज यदि सर्वर को निर्धारित करने के लिए अधिक जानकारी की आवश्यकता होती है (जैसे एक दूसरा सत्यापन: पिन, पासवर्ड, प्रमाण पत्र, आदि)

वैकल्पिक रूप से, क्लाइंट और सर्वर जैसे अकाउंटिंग के संदेशों का आदान-प्रदान कर सकते हैं लेखा-अनुरोध और लेखा-रिस्पांस एक अद्वितीय सत्र पहचानकर्ता बनाए रखने के लिए।

3. ग्राहक भेजता है a लेखा-अनुरोध बंदरगाह के माध्यम से सर्वर के लिए टीसीपी / यूडीपी एक्सएनयूएमएक्स लेखांकन सत्र प्रबंधन के लिए (पुराने सर्वर संस्करण का उपयोग करेगा 1646 प्रमाणीकरण के लिए भी)।
4. सर्वर एक के साथ जवाब देता है लेखा-रिस्पांस नए सत्र की पुष्टि करने के लिए संदेश।

RADIUS वातावरण में, उपयोगकर्ताओं के लिए एक अतिरिक्त सेवा डेटाबेस प्रबंधन को उच्च उपलब्धता पर विचार करने के लिए आवश्यक और महत्वपूर्ण होगा, जिसे अन्य विशिष्ट लेख में माना जाएगा।

त्रिज्या लोड संतुलन और उच्च उपलब्धता वातावरण

समस्या यदि एक RADIUS सेवा के डाउन होने पर उपयोगकर्ताओं के जोखिम को सर्वर नेटवर्क तक नहीं पहुंचा सकती है, या किसी एप्लिकेशन में लॉगिन कर सकती है, तो उपयोगकर्ता डिवाइस में सत्र नहीं खोल सकते हैं या अधिकार का उपयोग करने के लिए प्राधिकरण प्राप्त करने में असमर्थ हैं। एक व्यापार प्रक्रिया। इस तरह की स्थितियों को हल करने के लिए, इस लेख का उद्देश्य नीचे दिखाए गए वातावरण को सेटअप करना है।

Zevenet सभी RADIUS सर्वरों के बीच RADIUS प्रोटोकॉल संदेशों को साझा करेगा, या तो वे अलग-अलग या स्थानीय साइटों में होंगे। निम्नलिखित वर्गों में हम इस तरह के वातावरण के विन्यास की व्याख्या कर रहे हैं, RADIUS सेवाओं के लिए उन्नत स्वास्थ्य जांच और इस प्रोटोकॉल की सुरक्षा चुनौतियां।

RADIUS वर्चुअल सेवा कॉन्फ़िगरेशन

RADIUS प्रोटोकॉल प्रकृति UDP पैकेट पर आधारित है, इसलिए एक विश्वसनीय RADIUS वातावरण का कॉन्फ़िगरेशन एक के साथ बनाया गया है LSLB के साथ खेत L4xNAT प्रोफ़ाइल 4, बंदरगाहों पर 1812 और 1813, प्रोटोकॉल प्रकार यूडीपी और पसंदीदा DNAT पारदर्शिता रखने के लिए और बैकएंड की तरफ (हालांकि, क्लाइंट आईपी प्राप्त करें NAT पूरी तरह से काम करना चाहिए)।

में सेवाजब तक क्लाइंट-त्रिज्या सर्वर के बीच कुछ चिपचिपाहट की आवश्यकता न हो, तब तक डिफ़ॉल्ट रूप से दृढ़ता की आवश्यकता नहीं होती है।

यदि यूडीपी के बजाय टीसीपी के माध्यम से RADIUS का उपयोग किया जाता है, तो इसे प्रोटोकॉल प्रकार के क्षेत्र में बदला जा सकता है। यह भी सेट किया जा सकता है सब टीसीपी और यूडीपी दोनों को एक ही वर्चुअल आईपी से एक ही समय में अनुमति देने के लिए प्रोटोकॉल।

अंत में, बैकएंड्स को कॉन्फ़िगर किए गए पोर्ट के साथ कॉन्फ़िगर करें (क्योंकि यह क्लाइंट कनेक्शन के गंतव्य पोर्ट का उपयोग करेगा) और कनेक्शन का परीक्षण करें। एक बार जब RADIUS वर्चुअल सेवा को सफलतापूर्वक कॉन्फ़िगर कर दिया जाता है, तो हम इस सेवा के लिए उन्नत स्वास्थ्य जांच सेट कर सकते हैं।

RADIUS उन्नत स्वास्थ्य जाँच कॉन्फ़िगरेशन

नाम के साथ एक उन्नत चेक ज़ेवनेट में शामिल है check_radius डिफ़ॉल्ट फ़ोल्डर के तहत / Usr / स्थानीय / zenloadbalancer / ऐप्स / libexec /.

इस आदेश की मदद सूचीबद्ध की जा सकती है:

root@zevenet5# /usr/local/zenloadbalancer/app/libexec/check_radius --help
Tests to see if a RADIUS server is accepting connections.

Usage:
check_radius -H host -F config_file -u username -p password
			[-P port] [-t timeout] [-r retries] [-e expect]
			[-n nas-id] [-N nas-ip-addr]

Options:
 -h, --help
    Print detailed help screen
 -V, --version
    Print version information
 --extra-opts=[section][@file]
    Read options from an ini file. See
    https://www.monitoring-plugins.org/doc/extra-opts.html
    for usage and examples.
 -H, --hostname=ADDRESS
    Host name, IP Address, or unix socket (must be an absolute path)
 -P, --port=INTEGER
    Port number (default: 1645)
 -u, --username=STRING
    The user to authenticate
 -p, --password=STRING
    Password for autentication (SECURITY RISK)
 -n, --nas-id=STRING
    NAS identifier
 -N, --nas-ip-address=STRING
    NAS IP Address
 -F, --filename=STRING
    Configuration file
 -e, --expect=STRING
    Response string to expect from the server
 -r, --retries=INTEGER
    Number of times to retry a failed connection
 -t, --timeout=INTEGER
    Seconds before connection times out (default: 10)

This plugin tests a RADIUS server to see if it is accepting connections.
The server to test must be specified in the invocation, as well as a user
name and password. A configuration file may also be present. The format of
the configuration file is described in the radiusclient library sources.
The password option presents a substantial security issue because the
password can possibly be determined by careful watching of the command line
in a process listing. This risk is exacerbated because the plugin will
typically be executed at regular predictable intervals. Please be sure that
the password used does not allow access to sensitive system resources.

सबसे पहले, आइए देखें कि क्या यह निम्नलिखित उदाहरण कमांड को निष्पादित करके ठीक से काम कर रहा है (कृपया अपने स्वयं के त्रिज्या क्लाइंट कॉन्फ़िगरेशन मापदंडों को ज़ेवेट से उपयोग करें):

root@zevenet5# cd /usr/local/zenloadbalancer/app/libexec/
root@zevenet5# ./check_radius -H <RADIUS_SERVER_IP> -P <RADIUS_SERVER_PORT> -u <DUMMY_USER_NAME> -p <DUMMY_USER_PASSWD> -F <RADIUS_CLIENT_CONFIG_FILE>

परीक्षण Zevenet उपकरण से डमी उपयोगकर्ता सत्यापन के साथ एक निश्चित RADIUS सर्वर और वैकल्पिक रूप से, विशिष्ट ग्राहक मापदंडों के लिए क्लाइंट कॉन्फ़िगरेशन फ़ाइल के साथ किया जाएगा। चलो कमांड का परीक्षण करते हैं, और फिर, जब हम प्राप्त करते हैं OK सर्वर और से असफलता जब यह नीचे हो तो हम उन्नत स्वास्थ्य जांच को कॉन्फ़िगर कर सकते हैं सेवा हमारी अभी-अभी वर्चुअल सेवा का अनुभाग।

का उपयोग करने के लिए मत भूलना होस्ट ज़ेनवेट में उन्नत स्वास्थ्य जांच को कॉन्फ़िगर करते समय टोकन नीचे के अनुसार।

check_radius -H HOST -P 1812 -u johndoe -p johnspass -F /etc/radius_client.cfg

नीचे देखें सेवा खंड विन्यास।

त्रिज्या सुरक्षा विकल्प

RADIUS प्रोटोकॉल ने पारंपरिक रूप से UDP पर प्रति पैकेट प्रमाणीकरण और अखंडता जांच के लिए MD5 एल्गोरिदम का उपयोग किया है। चूंकि ये दोनों कोई सुरक्षा एन्क्रिप्शन और सुरक्षा प्रदान नहीं करते हैं, इसलिए कई दृष्टिकोणों का अध्ययन किया गया है।

RADIUS की तैनाती खत्म IPsec or इंटरनेट प्रोटोकॉल सुरक्षा व्यापक रूप से तैनात किया गया है, लेकिन इस विकल्प की कुछ कठिनाइयाँ हैं क्योंकि अनुप्रयोग परत सुरक्षा नीतियों से अवगत नहीं है, क्योंकि यह नेटवर्क परत में निहित है। Zevenet के साथ इस दृष्टिकोण का उपयोग करने के लिए इसे कुछ मैनुअल कॉन्फ़िगरेशन की आवश्यकता होती है क्योंकि यह अभी तक एकीकृत नहीं है।

की विशिष्टता DTLS or डेटाग्राम ट्रांसपोर्ट लेयर सिक्योरिटी ऐसे ट्रैफ़िक की सुरक्षा नीतियों को एन्क्रिप्शन, मॉनिटर और नियंत्रण प्रदान करने की अनुमति देता है।

एक अन्य विकल्प RADIUS पर होगा टीएलएस विश्वसनीयता और इन-ऑर्डर ट्रांसपोर्ट परत की टीसीपी क्षमताएं प्रदान करता है।

इस तरह के दृष्टिकोणों के लिए, IANA के लिए एक आधिकारिक प्रविष्टि बनाई है RadSec (RADIUS सुरक्षा) यूडीपी का उपयोग करने के लिए 2083 के लिए बंदरगाह RADIUS / TLS कार्यान्वयन।

एक और विकल्प के साथ पाचन और प्राधिकरण परत को बढ़ाने के लिए होगा ईएपी (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल) कि लिंक स्थापना परत में उपयोग नहीं किया जाता है, लेकिन कनेक्शन प्रमाणीकरण चरण के दौरान, MD5 कमजोर पचाने के उपयोग से बचा जाता है।

इसके अलावा, Zevenet के साथ, RADIUS सेवाओं को दुर्भावनापूर्ण पैकेट और मेजबानों, DoS हमलों, जानवर बल के प्रयासों और बहुत अधिक के खिलाफ IPDS मॉड्यूल के साथ संरक्षित किया जा सकता है।

त्रिज्या प्रॉक्सी क्षमताओं

यदि कई RADIUS सर्वरों को विभिन्न साइटों पर तैनात किया जाता है, तो यह ग्राहक के लिए उस साइट से कनेक्शन को आगे बढ़ाने के लिए दिलचस्प होगा जो उनके प्रमाणीकरण, प्राधिकरण और लेखा डेटा का प्रबंधन करता है। वर्तमान में, Zevenet RADIUS प्रॉक्सी क्षमताओं का समर्थन नहीं करता है लेकिन इसे जल्द ही शामिल करने की योजना है। नवीनतम घटनाओं के लिए तत्पर हैं!

अपनी उच्च उपलब्ध और स्केलेबल नेटवर्क सेवाओं तक पहुँचने का आनंद लें!

पर साझा करें:

GNU फ्री डॉक्यूमेंटेशन लाइसेंस की शर्तों के तहत प्रलेखन।

क्या यह लेख सहायक था?

संबंधित आलेख